『轉貼』抓姦軟體Spector的基本運作原理

蔡逸竹

孤獨者 - 心在黑暗裡旅行 ...... ...

至尊會員

Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7

遊蕩的過客 - 枉入紅塵若許年 .. ...

UID: 18273
帖子: 12122
精華: 1273
積分: 240737
金幣: 492641
威望: 5001
推廣: 0
閱讀權限: 99
來自: 尋覓中
註冊時間: 2006-6-24
最後登錄: 2015-5-27

總版主典獄長榮譽勳章陽光會員宣傳大使榮退獎章糾察隊長鍾愛一生勳章大學博士勳章守護天使勳章忠誠勳章高級糾察社區建設獎章社區巡守獎章社界宗師勳章資源專家勳章傳學大師勳章文壇大家勳章點評專家勳章終身成就獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

1樓大中小發表於 2008-2-14 00:25

『轉貼』抓姦軟體Spector的基本運作原理

關於Spector這類監控軟體，對我而言不是什麼新鮮的玩意，很早以前就有接觸相關類似的產品，但是最近玩Spector程式之後，卻給我帶來一些震撼，因為它讓我看到未來「特洛依木馬」程式發展的方向。

很早以前我就猜想，有關「特洛依木馬」程式未來發展的技術，應該會慢慢往 Windows Kernel 靠攏，寫成 VXD 形態的「特洛依木馬」程式應該是許多玩這方面人的夢想，不過 VXD 程式設計的門檻高了些，對很多人而言這不是一條簡單的路，所以到目前為止，我還沒看到有 VXD 形態的「特洛依木馬」程式出現.....也許現在有人寫出來了也不一定，但我自己本身到目前是還接觸到就是了。而在玩 Spector軟體之後，各位如果有看過它們網站上的宣傳廣告，你一定會對它引以自豪的隱形（Stealth）技術感到興趣，因為這是有關研究「特洛依木馬」程式大部分人最感興趣的地方，如何植入「特洛依木馬」而不被使用者發現，我想是很讓人感到興趣的，而 Spector軟體在這方面提供了一個很好的思考方向。

對於該公司而言，我想是絕對不會洩漏有關它們 Spector軟體隱形技術的方法，因為這是它們的競爭優勢及商業機密，但對一名有經驗的駭客而言，只要玩過 Spector程式之後，就可以自己研究出它們的技巧在哪裡，或者至少找到一個程式設計的思考方向，這不是一件非常困難的事。

我在仔細分析 Spector 程式之後，發現它利用了我從沒想到的管道，來讓自己可以一開機就被載入，而且不佔任何 Process名稱－或者該說是不會在 Process 名單中出現。各位可以看看它們自己的宣傳，如圖1所示。

（圖1）

沒有圖示、不會出現在Windows task list出現、無法反安裝.......等等，是不是都是你心目中「特洛依木馬」程式該有的最佳特質，Spector 雖然是屬於光明面的監控軟體，但是如果使用它的人不懷好心呢？或者是駭客從它裡面學得寶貴的技術呢？如果未來「特洛依木馬」程式又進一步進展到目前 Spector 所使用的隱形技術，對於現在已經很頭大的網路安全而言，可說是雪上加霜，我不認為一般初學者都擁有追蹤這類隱形軟體的能力，因為真的不是很簡單的一件事。下面我就來介紹我追蹤Spector軟體的過程。

追蹤Spector的隱形能力

我在當初拿到Spector軟體的時候，首先心想：「這監控軟體有什麼了不起，別人在我電腦『安裝』了一套『程式』，我直接將它反安裝不就得了，或者將程式關閉看你還如何監控我？」

我想我這個想法應該是很直覺的反應，所以首先按下＜Ctrl+Alt+Del＞按鍵，看看有沒有辦法直接將Spector程式關閉，如圖2所示，果然Spector不會出現在Windows task list裡面，和圖1的宣傳內容一樣，所以我沒有辦法用按下＜Ctrl+Alt+Del＞按鍵的方式關閉它。

沒關係，接下來我心理想，本「皮皮」（雜誌社稱筆者的綽號）大爺什麼都沒有，就只有網路下載的工具一大堆，所以換一套可以看到Windows所有執行行程（Process）的工具來查，如圖3所示，「嘿！嘿！」（少一個「嘿」，我可沒有緋聞），這下可好，連在圖3的畫面裡也看不到Spector的蹤影，這下這套軟體真是引起我高度的興趣。

（圖2）

（圖3）

不氣餒，沒有辦法直接在Windows執行的行程中看到你，我就不相信你不把自己寫在Windows一開機就執行的記錄內。所謂的一開機就執行記錄，就好比是你把執行程式的捷徑放在「程式集」的「啟動」資料匣內，這樣Windows系統一開機之後就會自動執行你指定的程式，而Spector既然是套監控軟體，那它一定要在Windows系統一啟動之後就馬上執行，否則它如何監控我在電腦上的操作行為呢，對不對？

所以我馬上檢查我系統有關開機自動啟動的各項記錄，包括Autoexec.bat、Win.ini、System.ini、Windows Registry裡面有關如「HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run」這幾個開機啟動的鍵值，如圖4，真是「媽啦個銼冰」，竟然這些地方還是沒有看到Spector的蹤影，簡直……好像這套軟體從來沒有安裝在我電腦上一樣，它真的是隱形看不見了。直到這時我才感到Spector帶給我的震撼，如果今天真的我沒接觸過這套軟體，人家在我電腦上安裝它、監視我的一舉一動，我還真的是不知道，無法察覺！

所以最後我只好回到最基本的老方法，先把硬碟檔案及Windows的Registry記錄下來，然後安裝Spector之後看它在我系統做了哪些手腳，我就不相信這樣還抓不出它。圖5是我查出安裝後系統更動的結果，原來Spector它把自己寫成了一個DLL檔案，安裝在我Windows的System目錄下，檔名是SHMSWNRC.DLL…..難怪我剛才查不出來。而光這樣還不打緊，Spector更賤的地方是它竟然把自己註冊成Windows的一個COM類別，它將自己隱藏在CLSID裡面，這樣Windows一開機自動載入COM、ActiveX物件時便會自動執行SHMSWNRC.DLL檔案，所以Spector便會跟著系統開機後啟動，而因為它屬於COM的某個類別，所以我們在前面圖2、圖3觀察行程時當然看不到它的蹤影。

這就是我追蹤Spector最後的結果，原先我總是想它會以EXE執行程式的形態出現，沒想到最後它是從COM領域下手，這是以前玩「特洛依木馬」程式所沒有想到隱藏自己的途徑，而Spector帶給我另一條「特洛依木馬」發展的思考方向。

（圖4）

（圖5）

偵測Spector

看過前面的介紹後，你一定會有點擔心自己家中或辦公室的電腦裡面，不知有否被人安裝類似 Spector這類的監控軟體，有關偵測Spector這類監控軟體的工具程式，各位可以去下載一套名為 BugAware（網址：訪客無法瀏覽此圖片或連結，請先註冊或登入會員。）的反偵測程式，它是由 KMCS 公司（網址：訪客無法瀏覽此圖片或連結，請先註冊或登入會員。）所設計的，屬於一套 Shareware 的軟體。使用它的方法很像是使用掃毒程式，執行它之後選擇要掃描的磁碟，然後它就可以幫你偵測出硬碟裡面有哪些檔案是所謂的監控軟體，如圖6所示。這是我掃描我自己電腦裡面的情形，可以看到 BugAware 順利偵測出我系統有被安裝了 Spector 及 eBlaster程式，不過這套 BugAware 工具，只能幫你偵測不能幫你移除，你要移除這些監控軟體，還必須自己依賴對於 Windows系統的熟悉度，想辦法將這些東西從你電腦裡面趕出去。（註：我試過手動移除Spector的方法，將那個SHMSWNRC.DLL檔案刪除之後，Spector就不會運作了，所以正常來說，將BugAware工具偵測出含有監控軟體的檔案刪除，就可以移除這些程式的監控功能）

不過我始終懷疑，使用這種比對資料庫的防護方法，能夠有多少的成效，每天幾乎都有新的電腦病毒產生，也隨時都有新的「特洛依木馬」程式被設計出來，所以新版的這些產品，對於這些防護程式而言，可都是乾淨的「程式」，你只能祈禱你不是第一個被入侵的受害者，不然這些防護程式可是無法給你完全的防護安全。

（圖6）

TOP

蔡逸竹

孤獨者 - 心在黑暗裡旅行 ...... ...

至尊會員

Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7

遊蕩的過客 - 枉入紅塵若許年 .. ...

UID: 18273
帖子: 12122
精華: 1273
積分: 240737
金幣: 492641
威望: 5001
推廣: 0
閱讀權限: 99
來自: 尋覓中
註冊時間: 2006-6-24
最後登錄: 2015-5-27

總版主典獄長榮譽勳章陽光會員宣傳大使榮退獎章糾察隊長鍾愛一生勳章大學博士勳章守護天使勳章忠誠勳章高級糾察社區建設獎章社區巡守獎章社界宗師勳章資源專家勳章傳學大師勳章文壇大家勳章點評專家勳章終身成就獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

2樓大中小發表於 2008-2-14 00:29

「抓姦」軟體Spector

Spector功能簡介撰寫by鮑友仲

其實要介紹Spector的功能是什麼，簡簡單單一句話就可以道盡：「電腦螢幕的VCR錄影機」。沒錯，Spector功能說白點，就好像是有人在你電腦螢幕前用錄影機，偷偷將你操作電腦所有的畫面錄影下來，而等到你離去之後，再將錄影的內容播放出來，就可以知道你剛剛做了哪些行為。

我常說：「千言萬語不如一則範例」，底下，我就舉個實際例子來帶大家看看Spector的面貌。

假設今天如圖1，我要用WINZIP軟體將一些檔案資料壓縮備份到一個password.zip的檔案裡面，我操作的步驟可能是首先在圖1畫面輸入password的檔名

（圖1）

然後如圖2執行「Options／Password」功能，替這個壓縮檔加上密碼保護

（圖2）

接著在圖3的輸入視窗，將密碼輸入到壓縮檔內…..畫面中有關密碼內容被Windows系統改用「*****」號代替，為了後面解說容易，這裡我先公佈密碼內容，我鍵入的是「bruce」這個英文名字當作是壓縮檔的密碼。

（圖3）

上面這些操作步驟對於會用WINZIP軟體的人應該都很容易理解，不懂也沒關係，你只要知道圖1～3的視窗畫面長什麼樣子就好了。

OK，接下來，我就要帶大家看看Spector究竟記錄了什麼事情，如圖4

（圖4）

這是開啟Spector之後的視窗畫面，可以看到圖中我選擇了要看「Winzip32」這部記錄，結果視窗中間就出現剛剛我操作WINZIP時的畫面。接下來如圖5

（圖5）

我按下「Play」播放按鈕，Spector就會把我剛才所有操作WINZIP步驟的畫面播放出來，讓你知道我剛剛究竟做了哪些事。

等到我看完所有操作步驟之後，發現糟糕，你竟然有對壓縮檔加上密碼，這下可好，螢幕出現的密碼內容都是「*****」號，我根本看不到它的內容…..不過…..好在沒關係，Spector有所謂的按鍵記錄能力，如圖 6

（圖6）

選擇要看你剛剛輸入了哪些字元，接著字元內容出現如圖 7

（圖7）

我知道你一共鍵入有「passswordbrucebruce」這些字元，從剛剛VCR播放知道password是輸入ZIP的檔名，而在鍵入密碼時，因為要確認密碼沒有輸入錯誤，所以我一共鍵入重覆的密碼字串兩次，所以「bruce」字串重複兩次，它當然就是密碼內容了。

看到了嗎？我剛剛使用WINZIP操作的所有步驟，完完全全都被Spector記錄下來，包括完整的操作視窗畫面及鍵入的字元，全部都逃不過Spector的監視。這裡要說明一點，圖4裡面的螢幕畫面看起來是黑白，這是我當初設定「錄影」時就錄成黑白畫面的結果，因為這樣可以節省空間，並不是Spector只能將畫面記錄成黑白，這點要提出說明。